多个 1,015 组中的成员的用户可能会登录身份验证失败

文章翻译 文章翻译
文章编号: 328889 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

当用户尝试使用本地登录到计算机计算机帐户或域用户帐户,可能会失败,该登录请求下面的错误消息:
系统无法登录消息:由于下列错误,您登录: 在尝试登录,该用户的过程安全上下文积累了太多的安全标识。请再试一次,或询问您的系统管理员。

原因

(具有管理用户权限的用户时,会出现此问题帐户或非管理用户帐户) 的成员是谁多个1,015 安全组尝试登录。

当用户登录到计算机,本地安全机构 (LSA,属于本地安全颁发机构子系统) 生成来表示的用户的访问令牌在用户的安全上下文。访问令牌包含的用户的唯一安全标识符 (SID) 和用户是成员的每个组的 Sid,包括可传递组。

注意这种现象的唯一例外是,并不是所有域本地安全组的成员的用户将显示在该用户的令牌。会显示 (在该用户的令牌) 只有域本地安全组将该用户也是成员的那些组驻留在域中它包含的计算机帐户,用户登录到。对于示例,阐释了此过程,请参见"更多信息"部分。

系统的限制,因为该字段包含最多可以包含用户的组成员身份在访问令牌中的 Sid1024 的 Sid。如果某个用户是多于 1024 个安全组的成员LSA 登录尝试过程中不能创建该用户的访问令牌。因此,用户将无法登录。在访问令牌生成过程根据正在执行的登录类型,则 LSA 还插入达 9除了用户的组成员身份的 Sid 众所周知的 Sid(间接计算的)。

由于众所周知的 SID 添加通过 LSA 中,如果某个用户是多个 1,015 (也就是说,减去 9 1024) 的成员安全组总数将会超过 1024 SID 限制更多。因此,LSA 将不能创建过程中用户的访问令牌登录尝试。(此 1,015 数字包括的本地组成员身份用户尝试登录到的计算机。)由于用户不能通过身份验证,他们不能登录。

解决方案

要解决此问题,请使用下列方法之一根据您的具体情况。

案例 1: 遇到登录错误的用户不是管理员,但管理员可以成功地登录到计算机或域

必须由具有管理员执行此分辨率若要修改受影响的用户是成员的组成员身份的权限。管理员必须修改该用户的组成员资格,以确保用户不再是成员的多个 1,015 安全组 (记录考虑可传递成员身份和一组本地组成员身份)。后管理员用户从中移除足够数量的安全组,用户将可以成功登录到域。

注意尽管安全的最大数量的组可以是用户成员为 1024,作为一种最佳做法,限制数为 1,015。这数字使确保该令牌代将始终会成功因为它提供了插入的 LSA 的达 9 众所周知的 Sid 的空间。

案例 2: 失败登录的用户是管理员

当许多分组的用户由于太其登录失败。成员资格是管理员组,拥有管理员中的成员管理员帐户的凭据 (具有的帐户为 500 的已知相对标识符 [RID]),必须重新启动域控制器通过选择 安全模式 启动选项 (或选择 在带网络连接的安全模式 启动选项),然后必须登录使用管理员帐户的域控制器。

Microsoft 已修改在 LSA 中的标记生成算法,以便LSA 可以创建管理员帐户的访问令牌,以便管理员可以登录而不考虑多少个传递组或非可递组的管理员帐户的成员。当一个的使用这些安全模式启动选项时,将为创建访问令牌管理员帐户包括所有内置和所有域的 Sid全局组的管理员帐户的成员。这些组通常如下所示:
  • 每个人 (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • 系统会 (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT AUTHORITY\Authenticated 用户 (S-1 年 5 月 11 日)
  • 本地 (S-1-2-0)
  • \Domain 用户() S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513
  • \Domain 管理员() S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512
为管理员帐户创建访问令牌可以根据需要包含以下 Sid:
  • BUILTIN\Pre-Windows 2000 兼容 Access(S-1-5-32-554)如果每个人都是此组的成员
  • NT AUTHORITY\This 组织 (S-1-5-15) 如果域控制器在运行 Windows Server 2003

备注

  • xxxxxxxx-yyyyyyyy-zzzzzzzz 表示域的组件SID。
  • NT AUTHORITY\NETWORK SID 可插入的而不是NT AUTHORITY\INTERACTIVE SID,具体取决于的登录类型。
  • 如果 安全模式 使用启动选项时,在 活动目录(AD) 用户和计算机管理单元的用户界面不是可用。在 Windows Server 2003 中,管理员可能或者登录通过选择 在带网络连接的安全模式 启动选项 ;在中这种模式下,Active Directory 用户和计算机管理单元的用户界面是可用。
管理员已登录,选择之一后安全模式启动选项,并使用管理员凭据帐户,管理员必须确定然后修改的成员资格导致拒绝登录服务的安全组。
进行此更改后,用户应能够登录成功之后,它等于域的时间段复制滞后时间已过。

更多信息

下面的示例阐释了的本地域安全组将显示在该用户的令牌时登录到的用户在一个域中的计算机。

在此示例中,假设李先生属于域 A 和 A\Chicago 的域用户的域本地组的成员。李先生此外一个域 B\Chicago 用户的域本地组的成员。李先生在登录时对属于一个域 (例如,域 A\Workstation1),一台计算机在计算机上,李先生为生成令牌和标记包含,此外对所有通用组和全局组成员身份,该 SID 的域 A\Chicago用户。它将不会包含域 B\Chicago 用户的 SID,因为李先生登录 (域 A\Workstation1) 的计算机属于域答:

同样,当李先生登录到一台计算机属于域 B(例如,域 B\Workstation1) 为生成令牌乔上计算机和令牌包含,除了所有通用和全局组成员身份,SID 的域 B\Chicago 用户 ;它将不包含A\Chicago 的域用户的 SID 因为李先生登录 (域的计算机B\Workstation1) 属于域 b。

但是,李先生登录到计算机所属域 C (例如,域 C\Workstation1),一个标记包含所有通用登录计算机上生成的李先生和全局组成员身份为乔的用户帐户的。两个域的 SIDA\Chicago 用户或域 B\Chicago 用户的 SID,不会出现在标记中因为域本地组的李先生是的成员都在不同李先生登录 (域 C\Workstation1) 计算机的域。与此相反,如果李先生是属于某些域本地组的成员域 C (例如,域 C\Chicago 用户),为生成的标记将包含在计算机上的李先生,以及所有的通用和全局组成员身份,C\Chicago 的域用户的 SID。

属性

文章编号: 328889 - 最后修改: 2013年3月26日 - 修订: 1.0
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows 7 Enterprise
  • Windows 7 Enterprise N
  • Windows 7 Home Premium N
  • Windows 7 Professional N
  • Windows 7 Starter N
  • Windows 7 Ultimate N
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Enterprise N
  • Windows 8 N
  • Windows 8 Pro
  • Windows 8 Professional N
关键字:?
kbinfo kbmt KB328889 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 328889
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com